Cyberangriff auf TWL reiht sich in weltweite Angriffsserie

  • Kritische Infrastrukturen werden bevorzugtes Ziel für Cyberkriminelle
  • Deutscher Energieversorger ist neuestes Opfer in einer Reihe von vielen
  • Ausfall der Anlagen kann über Anomalieerkennung verhindert werden

Leipzig, 26. Mai 2020 − Während die Welt im Lockdown verharrt, wittern Cyberkriminelle und staatlich gestützte Hackergruppen ihre Chance, die Grundversorgung zu stören. In den letzten Monaten wurden mehrere Fälle bekannt, in denen Kritische Infrastrukturen gezielt angegriffen und unter Druck gesetzt wurden. »Vermutlich bewerten die Cyberkriminellen die Systemrelevanz der Unternehmen als gute Chance für eine schnelle Bezahlung der Lösegeldforderung«, bewertet Rhebo-CEO Klaus Mochalski die Häufung der Vorfälle. »Wir beobachten seit ,Anfang des Jahres eine deutliche Zunahme der Angriffsaktivitäten. Allen ist gemein, dass sie die vor Ort installierten Sicherheitsmechanismen sehr geschickt unterwandern«.

Bereits Februar 2020 wies die Cybersecurity and Infrastructure Security Agency (CISA) auf den Fall eines Pipelinebetreibers in den USA hin.1 Nachdem unbekannte Angreifer die IT lahmgelegt hatten, griffen sie auf die Operational Technology (OT) zu und störten dort das betriebliche Monitoring der Anlagen. Im April wurden der Verband Europäischer Übertragungsnetzbetreiber ENTSO-E, der insgesamt 42 Verteilnetzbetreiber aus 35 Ländern repräsentiert, Opfer eines Ransomware-Angriffs.2 Vor zwei Wochen folgten Elexon, die für die Regulierung des britischen Energiemarktes von zentraler Bedeutung sind.3 Zeitgleich wurde in Norwegen die Produktion des Krankenhausbetreibers und Medizintechnikherstellers Fresenius Kabi durch die neue Schadsoftware Snake/Ekans beeinträchtigt.4

Deutschland gerät ins Visier der Cyberkriminellen

Das aktuelle Opfer dieser zunehmenden Vorfälle ist mit den Technischen Werken Ludwigshafen (TWL) nun direkt in Deutschland angesiedelt. Der regionale Energieversorger wurde bereits im Februar diesen Jahres Opfer einer Phishing-Kampagne, bei der vermutlich die Ransomware der Gruppe Clop zum Einsatz kam. Die Ransomware gehört zu einem Strang hochspezialisierter Schadsoftware, die in einzelnen Varianten sogar mit legitimer Signatur erhältlich ist. Dadurch können gängige Abwehrmechanismen, wie sie in Firewalls und typischen Intrusion Detection Systemen zur Anwendung kommen, umgangen werden.

»Betreiber systemrelevanter Infrastrukturen stehen vor dem Problem, dass ihre klassischen IT-Cybersicherheitstools im Angesicht neuartiger und äußert clever programmierter Schadsoftware kapitulieren«, warnt Klaus Mochalski. »Gegen den Großteil der Wald- und Wiesen-Angriffe reichen diese nach wie vor. Sobald der Angriff vom bekannten Muster abweicht und gut getarnt wie die Ransomware bei den TWL funktioniert, sind die Mechanismen jedoch absolut hilflos. Nicht umsonst verstärken viele Energieversorger Deutschlands mittlerweile ihre Standardmechanismen durch ein industrielles Netzwerkmonitoring mit Anomalieerkennung«. So schützen u.a. Stromnetz Hamburg, EWR Netz GmbH, Netz Leipzig und Mitnetz Strom ihre Netzleittechnik mit der dedizierten Monitoringlösung und Anomalieerkennung Rhebo Industrial Protector. »Es ist ein leichtes, bekannte Angriffsmuster zu erkennen«, ergänzt Klaus Mochalski. »Die Herausforderung besteht darin, genau die schädlichen Vorgänge frühzeitig zu erkennen, die per Tarnkappe in das eigene Netzwerk eindringen und dort freies Spiel haben«.

Weitere Informationen sowie Praxisbeispiele zu einem durchgängigen Netzwerkmonitoring mit Anomalieerkennung in Kritischen Infrastrukturen finden Sie unter www.rhebo.com.

Über Rhebo

Rhebo gewährleistet als einziger herstellerunabhängiger Anbieter von industriellen Monitoringlösungen sowohl die Cybersicherheit als auch Stabilität von OT- und IoT-Infrastrukturen. Die Software und Services von Rhebo überwachen die Datenkommunikation sowohl innerhalb der Automatisierungstechnik als auch auf verteilten kritischen IoT-Geräten. Angriffe, Schwachstellen sowie technische Fehlerzustände werden in Echtzeit gemeldet. Rhebo unterstützt damit herstellerneutral Industrie-, Energie- und Wasserunternehmen, ihre Cybersicherheit, Produktivität und Anlagenverfügbarkeit zu steigern und die digitale Transformation der Prozesse zu sichern

Das Unternehmen ist Partner der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) und engagiert sich aktiv beim Teletrust – Bundesverband IT-Sicherheit e.V. und Bitkom Arbeitskreis Sicherheitsmanagement für die Erarbeitung von Standards und Handlungsempfehlungen.

Kontakt Rhebo

Kristin Preßler
COO
Tel. +49-341-393-790-180
press@rhebo.com

Quellen:

1 https://www.us-cert.gov/ncas/alerts/aa20-049a

2 https://www.cbronline.com/news/eu-power-grid-organisation-hacked

3 https://www.cbronline.com/news/elexon-hacked-web-server-down

4 https://krebsonsecurity.com/2020/05/europes-largest-private-hospital-operator-fresenius-hit-by-ransomware/